x

Attaques de virus

 
22/05/2007 00:12 #1
Bonjour,
- Mon Antivirus Avast a détecté 3 virus «Win32:Allapple », « Win32:Rbot-DCV » et « Win32: Eggdrop-AC » dont voici l’avertissement ci-dessous :

- A chaque connection à internet j’ai le message suivant d’Avast : Bouclier de réseau : « DCOM Exploit » - bloqué Attaque 88.161.148.134 :135TCP. A chaque apparition du message l’adresse IP change (ex : 88.161.110.129 :135TCP ; 88.161.148.134 :135TCP ; …)
- D’autre part Spybot-Search&Destroy a décelé qu’un élément important du registre a été modifié dont voici le message :
Catégorie : Browser Helper Object
Modif : Valeur supprimée
Element : {53707962-6F74-2D53-2644-206D7942484F}
Quels sont ces virus (est-ce que c’est grave docteur ?) et quels sont les moyens de s’en débarrasser ?
Merci pour votre aide.

rieneva
Tsonaute
membre
Inscrit
16/04/2007 11:38
Groupe :
Tsonaute confirmé
Messages
42
Annonce
Publicité
anonyme
22/05/2007 07:40 #2
Bonjour,
peut-être avez vous dernièrement installé une barre d'outil quelconque à votre navigateur?
Voici ce que dit le site "dico du net" au sujet de " Browser Helper Object " ;
Définition de Browser Helper Object Un BHO est une petite application tierce partie (de type "plug-in") qui, une fois installée, ajoute des fonctionnalités (désirées ou non) à un navigateur.
Description
Description de Browser Helper Object S'exécutant à chaque lancement de votre navigateur, les BHO permettent de lui ajouter des fonctionalités générales (recherche, anti popup, correction orthographique), et/ou spécifiques à un site donné (accès direct aux fonctions du site).

Il convient néanmoins de distinguer les BHO qui permettent d'apporter des fonctionnalités visibles et désirées dont l'exemple type reste la "barre d'outil" (toolbar), des BHO cachés et nuisibles qui ajoutent des fonctions nuisibles d'espionnage (spywares) et/ou de piratage (modification des pages de resultats, ouverture de popup de pub, voire d'intrusion dans le système).

Les BHO nuisibles, n'intégrent volontairement aucun moyens de les désinstaller. Le seul moyen de s'en débarrasser sont les logiciels anti-spyware dont les plus connus restent : Ad-Aware, SpyBot, et le plus récent Microsoft AntiSpyware, ...Si spybot l'a détecté et supprimé, c'est un bon point....

"Win32:Rbot-DCV" est un "backdoor"
"Win32: Eggdrop-AC" est un "trojan",
"Win32: Allapple[WRM] est un" backdoor"

Tous trois sont dans les listes de malwares de "A-squared"
Essayez de faire un scan en ligne avec "Emsisoft" ici;
Emsisoft Anti-Malware
Dites-nous ensuite le résultat.....

Sinon, il faudra peut-être aussi procéder à un scan "hijackthis", téléchargement et procédure sur cette adresse;
http://perso.orange.fr/jesses/Docs/Logiciels/HTJEasy.htm

Voilà pour l'instant en attendant Cthierry ou Ellipsons.....
Bon courage.....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
22/05/2007 08:27 #3
+1 avec toi jounino
Avec en plus une petite couche de gmer (www.gmer.net) pour être sur de ne pas avoir une merde qui tourne en tache de fond.

Et pour virer ces saleté, pas mieux que le mode invite de commande car la plupart son en hidden donc non visible dans l'explorateur ou via la commande cmd.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14710
22/05/2007 08:42 #4
Bonjour à tous, heureux d'être épaulé dans la bagarre...( avec les virus s'entend, bien sur ).....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
22/05/2007 09:23 #5
Je ne connaissais pas Gmer pour les rootkits, on en apprend tous les jours, moi, j'utilisais plutot "Blacklight" de F-secure encore gratuit jusqu'au 1 Octobre 2007.....
Merci beaucoup pour ce renseignement....
A+, jounino...

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
Les Deals du jour !
Écouteurs sans Fil Bluetooth 5.0, IPX7 écouteurs étanches Sportifs, Binaural Couplage Automatique, 3D Stéréo HiFi, Microphone intégré, pour/iPhone Android/Apple Airpods Pro/Huawei/Samsung/Xiaomi
29.99 €
Écouteurs sans Fil Bluetooth 5.0, IPX7 écouteurs étanches Sportifs, Binaural Couplage Automatique, 3D Stéréo HiFi, Microphone intégré, pour/iPhone Android/Apple Airpods Pro/Huawei/Samsung/Xiaomi
Montre Connectée Femmes Homme, 1,4 Pouces Montre Intelligente Smartwatch avec Moniteur de fréquence Cardiaque, Montre Sport avec Podometre Calories Sommeil Chronometre, Écran Coloré Bracelet Connecté
59.99 €  36.99 €
Montre Connectée Femmes Homme, 1,4 Pouces Montre Intelligente Smartwatch avec Moniteur de fréquence Cardiaque, Montre Sport avec Podometre Calories Sommeil Chronometre, Écran Coloré Bracelet Connecté
Publicité
anonyme
22/05/2007 19:08 #6
je ne lui ai pas conseillé de télécharger A2 free mais de scanner en ligne sa machine sur l'outil en ligne de A-squared.....
En fait, le "Win32:Rbot-DCV " n'est pas un exécutif (tilehome.com"file" ) mais un fichier situé , je crois dans le system 32 en compagnie des deux autres qui sont eux des exécutifs ( .exe ).....
Qu'en pense-tu ?

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
22/05/2007 19:36 #7
En regardant sur le site de "secuser", il y a un Win32:Rbot.BOM alias W32.Bropia.E (Computer Associates)
IM-Worm.Win32.Exir.a (Kaspersky)
W32/Bropia.worm.g (McAfee)
W32/Bropia-D (Sophos)
W32.Bropia.J (Symantec]
WORM_BROPIA.F (Trend Micro), donc qui n'a pas la même extension, toutefois, ce qui m'inquiète, c'est qu'il est stipulé ceci;
(source secuser ) Le virus Bropria.J se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger et se présente sous la forme d'un fichier prétendument envoyé par un contact, au nom aléatoire :

* LOL.scr
* Webcam.pif
* bedroom-thongs.pif
* naked_drunk.pif
* LMAO.pif
* ROFL.pif
* underware.pif
* Hot.pif
* new_webcam.pif

Si ce fichier est exécuté, le virus installe une variante du virus Spybot (également appelé Gaobot) qui autorise la prise de contrôle à distance de l'ordinateur infecté, puis s'envoie aux contacts MSN dont le statut est modifié. ce qui en fait un mode de propagation peu efficace. Par ailleurs, Bropia.J ne se propage pas par courriel, donc il n'existe aucun risque de le voir se présenter sous la forme d'un fichier joint à un courrier électronique.

Donc extrême méfiance mais ils proposent aussi un outil à télécharger pour le fixer ici;
http://www.secuser.com/telechargement/desinfection.htm#Bropia
Voir dans la liste " FxBropia "...

Qu'en pense-tu ?
A+, jounino....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
22/05/2007 21:05 #8
Holà vous me faites peur les gars! Qu'est-ce que je risque avec toutes ces bestioles? Et si je risque quelque chose de grave est-ce que ça peut-être dans un délai rapide?

rieneva
Tsonaute
membre
Inscrit
16/04/2007 11:38
Groupe :
Tsonaute confirmé
Messages
42
22/05/2007 21:18 #9
Comme il a été proposé j'ai déjà fait un scan en mode sans echec avec la plupart des logiciels antivirus. Seul Avast et Spybot ont trouvés ce que je vous ai posté.
J'ai bien 2 barres d'outils Yahoo et Google qui sont installées mais dépuis quelques temps déjà.
Je vais faire ce que me propose jounino, c'est à dire faire un scan en ligne.

rieneva
Tsonaute
membre
Inscrit
16/04/2007 11:38
Groupe :
Tsonaute confirmé
Messages
42
22/05/2007 23:01 #10
Les 2 premières tentatives de lancement d'A-Squared en ligne ont échouées avec l'apparition du message suivant:

Spybot-Search&Destroy a décelé qu'un élément important de Registre a été modifié
Catégorie: ActiveX Distribution Unit
Modif: Valeur ajouté(e)
Element: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE}

La 3e fut la bonne mais à la fin du scan tout est figé. Impossible de mettre les cookies en quarantaine ni de sauvegarder le rapport ni de fermer la fenêtre d'A-Squared.
Voici la capture d'écran:

rieneva
Tsonaute
membre
Inscrit
16/04/2007 11:38
Groupe :
Tsonaute confirmé
Messages
42
 
Publicité
Vous avez trouvé cette réponse utile ? Partagez-la !